La continuité des activités informatiques. Intégrer un PCA dans mon entreprise Prangins 17 Janvier 2008

Dimension: px

Commencer à balayer dès la page:

Download "La continuité des activités informatiques. Intégrer un PCA dans mon entreprise Prangins 17 Janvier 2008"

Emma Bureau
il y a 10 ans
Total affichages :

1 La continuité des activités informatiques Intégrer un PCA dans mon entreprise Prangins 17 Janvier 2008

2 Pas de recette toute faite!!! Vérité n 1 : «il existe autant de PCA différents que de sociétés» Votre projet de continuité dépendra de votre organisation interne vos besoins les moyens humains, financiers et organisationnels que vous êtes prêts à y consacrer le cadre d application de la continuité dans votre environnement l importance de votre infrastructure et les technologies la composant Pas de recette applicable à tous les cas mais un projet spécifique à votre contexte

organisation interne vos besoins les moyens humains, financiers et organisationnels que vous êtes prêts à y consacrer

3 «Si vis pacem para bellum» Vérité n 2 : «il y a 2 types de sociétés : celles qu i ont souffert d un désastre et celles qui en souffriront» Face à un désastre majeure Beaucoup d entreprises disparaissent Peu se relèvent et auront changé pour toujours Très peu y étaient préparés La préparation est une activité constante Un PCA est un plan et comme tous les plans, il doit être maintenu, revu et corrigé

disparaissent Peu se relèvent et auront changé pour toujours Très peu y étaient préparés La

4 Un projet interdisciplinaire!!! Vérité n 3 : «la continuité opérationnelle n est pas seulement une problématique technologique» Réduire la continuité des activités à la seule informatique donne un faux sentiment de sécurité Un plan de continuité implique l informatique mais également la logistique ou les «moyens généraux» les RH l ensemble des processus métiers Un plan de continuité réussi intègre l identification des processus métier critiques l inventaire et l analyse des moyens (informatiques) les supportant

activités à la seule informatique donne un faux sentiment de sécurité Un plan de continuité implique l informatique mais

5 Une méthodologie générique Dénominateur commun Son objectif : mettre en place les mesures humaines, techniques, financières et organisationnelles nécessaires afin de permettre aux activités opérationnelles d une entreprise de se dérouler dans la continuité, avec le minimum d interruptions et pertes de revenus correspondantes Son cadre d application général : les personnes, la technologies et les processus L évaluation des risques et l analyse des impacts métiers L implication de la direction Il s agit d un projet d entreprise et doit être mené par la direction Mais l élaboration d un PCA n est pas nécessairement un très gros projet

correspondantes Son cadre d application général : les personnes, la technologies et les processus L évaluation des risques et l analyse des impacts métiers L

6 Les phases (selon ITIL) Analyse des impacts Implémentation matérielle et logistique Sensibilis. Training/drill Kick off Évaluation des risques Planification organisationnelle Elaboration des plans de reprise Procédures et tests Revue régulière Stratégie de continuité Implémentation des mesures de réduction des risques Gestion du changement Tests Kick off Besoins Implémentation Gestion

plans de reprise Procédures et tests Revue régulière Stratégie de continuité Implémentation des

7 Les phases : Kick-off Phase de définition du projet Activités Définition du scope Élaboration de la mission Vente du concept (buy-in) Définition des moyens (humains et financiers) Organisation du projet et des moyens de suivi et de mesure Communication et implication de la direction Ce n est pas un projet informatique, c est un projet d entreprise avec une composante informatique!!!!!

du projet et des moyens de suivi et de mesure Communication et implication de la direction Ce n

8 Les phases : Définition des besoins Phase de définition des besoins et de sélection des options principales (stratégie de continuité) Activités Analyse des impacts métier Évaluation des risques Stratégie de continuité Qu est-ce que je risque de perdre? Quel risques réels menacent mon entreprise? Quelles sont les options pour protéger mon entreprise? Dommages ou pertes potentielles à mon entreprise en cas de désastre - Quels risques - Menaces et vulnérabilités - Niveaux de risques - Mesures de réduction - Options de reprises - Alternatives organisationnelles

Quel risques réels menacent mon entreprise? Quelles sont les options pour protéger mon entreprise?

9 Analyse des impacts métier Doit identifier les grands processus critiques de l entreprise (supply chain, procurement, ) les dommages et pertes aux affaires pouvant résulter d un désastre et les conséquences humaines, financières et intangibles y relatives les composantes clés de l infrastructure soutenant les processus critiques (supply chain = ERP SAP = infrastructure logicielle et matérielle SAP) mais aussi les personnes/services/installations clés soutenant les processus critiques le niveau minimal d opérations pour assurer la survie de l entreprise pendant le temps de la reprise (mode dégradé) le temps maximal pendant lequel l entreprise peut vivre en mode dégradé

(supply chain = ERP SAP = infrastructure logicielle et matérielle SAP) mais aussi les personnes/services/installations clés soutenant les processus critiques le niveau

10 Évaluation des risques Grandes familles technologiques soutenant les processus critiques Probabilité qu une interruption de service survienne sur cette infrastructure Conséquence sur le processus critique de la survenance d une menace Composantes clés de l infrastructure Menaces réelles sur cette infrastructure Vulnérabilités Risques Mesures de prévention, réduction, mitigation

le processus critique de la survenance d une menace Composantes clés de l infrastructure

11 Stratégie de continuité Mesures de prévention, réduction, mitigation Outsourcing Redondance Externalisation Contrôles Procédures Priorité par lots fonctionnels ou organisationnels Reprise à froid Haute disponibilité Options de reprise Analyse coûtsbénéfices

Procédures Priorité par lots fonctionnels ou organisationnels

12 Les phases : implémentation Planification organisationnelle Implémentation matérielle et logistique Elaboration des plans de reprise Procédures et tests Implémentation des mesures de réduction des risques Conduite traditionnelle du projet de réalisation Représente la composante lourde du projet

Procédures et tests Implémentation des mesures de réduction des risques

13 Etapes de l implémentation (1) Planification organisationnelle Implémentation matérielle et logistique Acquisition de matériel et logiciel pour l équipement d un site secondaire Installation du site secondaire et accostage Négociation éventuelle avec des fournisseurs de services (hébergeurs) Implémentation des mesures de prévention et réduction des risques, par exemple Externalisation Système à tolérance de panne Équipements redondants

accostage Négociation éventuelle avec des fournisseurs de services (hébergeurs) Implémentation des mesures de

14 Etapes de l implémentation (2) Élaboration et rédaction du plan Plan d évaluation des dégâts Plan de crise Plan de bascule en mode dégradé Plan d opérations en mode dégradé (composantes métier et IT) Plan de retour en mode nominal Rédaction des procédures et tests Procédures d installation et tests des équipements et locaux de remplacement Procédures de restauration des données dans un état connu Procédures de tests de simulation complète ou partielle

nominal Rédaction des procédures et tests Procédures d installation et tests des équipements et locaux de

15 Les phases : gestion du plan Sensibilis. Training/drill Revue régulière Gestion du changement Tests C est là que le vrai travail commence Il s agit de faire vivre le plan Le faire connaître au sein de l entreprise et en faire comprendre son importance Former/entrainer les équipes informatiques IT et métier aux procédures Revoir régulièrement l adéquation du plan aux besoins et sa correspondance à l infrastructure Gérer le changement Tester régulièrement en simulation grandeur nature (partielle ou complète)

plan Le faire connaître au sein de l entreprise et en faire comprendre son importance Former/entrainer les équipes

16 Calibrer votre projet et les investissements relatifs Éviter / Éviter / éliminer éliminer $ R Ensemble des Ensemble des risques risques opérationnels opérationnels f * i Risque résiduel Risque résiduel f * i Réduire Réduire Risque Risque résiduel résiduel f * i Transférer Transférer Risque Risque résiduel résiduel f * i Accepter Accepter Risque Risque résiduel résiduel Assurer Assurer Risque Risque Toléré Toléré $ f*i La somme des mesures d évitement, de réduction, de transfert, d assurance des risques ($ R ) additionnée au risque résiduel toléré ($ rrt ) ne doit pas être supérieure à l ensemble des risques valorisés (S f*i )

résiduel f * i Accepter Accepter Risque Risque résiduel résiduel Assurer Assurer Risque Risque Toléré Toléré $ f*i La somme des mesures d évitement, de

17 Pragmatisme Impact croissant RISQUES MAJEURS Fréquence faible Impact fort Fréquence forte Impact fort Fréquence faible Impact faible Fréquence forte Impact faible Scénario de risques Objet de l analyse Fréquence croissante

Fréquence faible Impact faible Fréquence forte Impact

18 Quand invoquer le plan? Le plan de crise doit définir, sur la base d une évaluation des dégâts d une évaluation de la durée d interruption des services de l impact estimée sur la conduite des affaires d autres facteurs spécifiques à votre entreprise si le déclenchement du mode désastre est nécessaire Il faut également prévoir le mode de communication du plan de crise à l ensemble de l entreprise pour activer les relais prévus et testés

interruption des services de l impact estimée sur la conduite des affaires d autres facteurs spécifiques à

19 Merci de votre attention

Documents pareils

ITIL V2. La gestion de la continuité des services des TI

ITIL V2. La gestion de la continuité des services des TI ITIL V2 La gestion de la continuité des services des TI Création : novembre 2004 Mise à jour : août 2009 A propos A propos du document Ce document de référence sur le référentiel ITIL a été réalisé en